保护个人信息将出台行业标准 有效性尚有待检验

　　中广网北京4月5日消息 据经济之声《天下公司》报道，面对频繁发生的个人信息泄露事件，工信部直属的中国软件评测中心联合30多家单位，起草了一份个人信息保护指南。这份标准日前正式通过评审，正在报批国家标准。

　　这将是我国第一个“个人信息保护”专项国家标准。中国软件测评中心副主任高炽扬介绍，相关的调研工作早在2008年就开始了，预计今年内标准能够正式出台。

　　高炽扬：部里面由安全协调司这边来委托我们保护的这种标准的前期研究工作，实际上从08年开始经历了三年的时间，一直在做前期的国内外情况调研。根据对企业状况的摸底以及国内地方标准制定情况的调研，在去年也就是2011年1月份的时候，我们正式启动了这项国家标准制定工作，经过了一年时间的制定，这项标准全名叫信息安全技术公共及商用服务信息系统，个人信息保护指南，这是一套国家标准，已经进展到标准的报批阶段，也就是说通过了标准制定的管理机构，安标委几轮的审核，包括网上的征求意见，包括安标委的专家组的投票，以及安标委专门制定专业组的投票，还有安标委主任办公会的决议，现在已经从安标委正式报批，进入到国标的报批阶段，也就是送到国标委正式走批准流程，预计年内能够出台。

　　高炽扬说，这个指南不仅明确了信息保护系统中一些原本模糊的概念，而且为各方提供了一个行为规范。

　　高炽扬：对一些以往比较模糊的概念，我们甚至提出一些切合实际的概念。第一，个人信息主体，我个人是用户，对我的信息有拥有权。第二，个人信息管理者，谁收集我的信息，要按照征集、收集的时候明确提出的目的，经过我同意采取一些使用、加工处理，这些就是我们提出的敏感个人信息和个人的一般信息，对于个人影响不一样，保护力度也不一样。个人的名字一般情况下不能告诉别人，要求保护很强的，但是可能我的一些身份信息、财务信息、位置信息这就是敏感的。第三，提出了默许同意和一般同意，主要针对一般个人信息，我可以采取默许同意的概念

　　这项指南不只针对互联网公司，而是适用于针对整个信息系统。

　　高炽扬：范围不仅针对互联网公司。我们可能不上网，我们可能是一个企业内部的管理系统，一个业务系统，一个企业也需要遵循这一点，随着范围实际上可以指导的范围更广。后续的考虑包括从主管机关考虑，进一步来通过标准制定完成之后，通过一些政府文件的形式来促进各地以及地方政府以及地方的行业协会来推进这个方面的工作。

　　不过，高炽扬表示，我国的“标准”分为3类，而这份指南并不具有强制性，只是一个推荐实施的国家标准。

　　高炽扬：咱们的国家标准有三种类型，强制标准以国标开头的。第二种推荐标准，以国标推开头的，还有一种指南性的文件，是国标斜杠Z指南开头的，这项标准是国家杠Z的标准，现在还不是一项强制性的标准。

　　这样的话，如果网站、商家违反了标准，也不会受到任何处罚。这对无良商家和企业有约束力吗？有效性能有多大？

　　张立栋：纵向来看这是很大的进步，但是在实践层面远远不够。我想可能在立法过程中，还有分步走的问题，首先要确立什么是个人信息，要把个人信息的范围、内容、属性确立下来，可是我们在以往只是更多讨论个人信息垄断的概念，但是这个概念没有细化，通过建立一个标准，可能对于个人信息的分类，各种实施主体有很严格的界定，这一步是很重要的奠定工作。对于下一步在民事层面的立法能起到很好的作用。

　　很多人觉得这个标准没有处罚措施，无异于一个花瓶，中看不中用。您认为这个标准对保护个人信息能起到什么作用？

　　进入互联网时代以来，以牟利为目的贩卖个人信息的行为已经相当严重。今年的央视3·15晚会，曾经曝光上海罗维邓白氏营销服务有限公司以每条3毛到1.5元的价格，出售1.5亿条个人信息。

　　很多人也都遇到过这样的情况：你去售楼处买房，不出三天，家装公司就会打电话，向你推销装修。你去车市买车，很快就会有人向你促销保险。

　　就算你哪儿也没去，还是会经常收到房地产公司卖房、开具发票收据等各种垃圾短信，接到莫名其妙的推销电话。很多市民觉得，这真是让人又烦心又无奈。

　　市民：网站要看一些信息，一般先让你注册，然后再让你看，如果不注册很多东西看不了，如果把信息给他，他就给一些其他机构。

　　市民：房地产的还是比较担心一些，因为经常会接到一些关于售房骚扰的信息。

　　市民：可能是银行，因为也是看了很多报道说，银行具体办事情的人可能会根据他的经济状况把客户的一些信息卖给别的方。

　　市民：害怕万一是在上面专门跟用户聊天的，之后窃取一些信息用于他的用途，现在不是有很多都是做这种工作的，比如邮箱、QQ号都可以通过一些渠道得到，给你发一些垃圾邮件。

　　这些主要涉及个人信息的买卖。而要说大规模的信息泄露，就不能不提到去年12月，知名程序员网站CSDN的安全系统遭到黑客攻击的事件，600万用户的登录名、密码和邮箱遭到泄漏。

　　随后，天涯、世纪佳缘等网站，也相继被曝出用户数据遭到泄密。今年3月份，北京警方宣布，CSDN用户数据泄露案告破，5名犯罪嫌疑人已经落网，因涉嫌非法获取 计算机数据罪被刑事拘留。

　　其实，很多人并不知道个人信息是在什么时候、什么地方被泄露的。而且因为取证困难，被调查者中只有不到10%的人，采取了相应的维权措施。

　　据了解，信息泄露的犯罪主体多是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，以及互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

　　对此，金山网络安全工程师李铁军表示，在保护用户信息方面，网络安全商的作用有限。

　　李铁军：像安全公司做的只是一件事情，防止一些非法的程序，恶意的程序去盗取用户存储的信息，主要用来对付病毒木马，除了病毒木马之外，这些个人信息的泄漏往往来自于第三方厂商，比如用户到商业银行注册信息或到其他与互联网无关的其他行业注册个人信息，这些个人信息通过某些渠道流传出去了。传统的杀毒软件或安全软件公司大多注重的是用户端，个人电脑的这些信息保护。

　　业内人士认为，除了一些机构或个人道德缺失之外，相关法律法规的滞后也是造成个人信息泄露的重要原因。据了解，国内目前有近40部法律、30余部法规，以及近200部规章，涉及个人信息保护。

　　比如2009年2月28日颁布的《刑法修正案(七)》，增设“非法获取公民个人信息罪”，规定“情节严重的，处三年以下有期徒刑或者拘役”。

　　“情节严重”是一个不确定概念，现实中大量的买卖个人信息行为，也许有人会说属于“情节不太严重”，但对个人的危害却“很严重”。应该如何处罚呢？也没有相关规定。